forum.opennet.ru - "Squid+ipchains help" (14)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Squid+ipchains help"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Squid+ipchains help"
Сообщение от Dimon on 01-Ноя-01, 20:58 (MSK)
Проблема!!! Стоит Линукс RH 6.2(смотрит в инет), Squid не прозрачный прокси, Как прописать в ipchains разрешение для того чтоб юзеры ходили через прокси, или нужен редиректор? Спасибо.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: Squid+ipchains help, Кип, 21:47 , 01-Ноя-01, (1)
- RE: Squid+ipchains help, Dimon, 13:41 , 08-Ноя-01, (2)
  - RE: Squid+ipchains help, Кип, 16:00 , 08-Ноя-01, (3)
    - RE: Squid+ipchains help, Dimon, 16:06 , 08-Ноя-01, (4)
      - RE: Squid+ipchains help, Кип, 16:24 , 08-Ноя-01, (5)
RE: Squid+ipchains help ???, NN, 16:31 , 08-Ноя-01, (6)
- RE: Squid+ipchains help ???, Кип, 16:35 , 08-Ноя-01, (7)
  - RE: Squid+ipchains help ???, Dimon, 16:57 , 08-Ноя-01, (8)
    - RE: Squid+ipchains help ???, NN, 18:30 , 08-Ноя-01, (11)
- RE: Squid+ipchains help ???, Dimon, 16:58 , 08-Ноя-01, (9)
  - RE: Squid+ipchains help ???, Кип, 17:19 , 08-Ноя-01, (10)
    - RE: Squid+ipchains help ???, Ostap, 11:49 , 12-Ноя-01, (12)
      - ipchains, algo, 21:32 , 11-Сен-02, (13)
        
        RE: ipchains, Goodvin, 14:18 , 09-Ноя-02, (14)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Squid+ipchains help"

Сообщение от Кип on 01-Ноя-01, 21:47  (MSK)

http://squid.opennet.ru смотри

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Squid+ipchains help"

Сообщение от Dimon on 08-Ноя-01, 13:41  (MSK)

>http://squid.opennet.ru смотри
Смотрел, ненашел ни че:(((

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Squid+ipchains help"

Сообщение от Кип on 08-Ноя-01, 16:00  (MSK)

http://www.bog.pp.ru/work/squid.html#transparent
хреново искал

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Squid+ipchains help"

Сообщение от Dimon on 08-Ноя-01, 16:06  (MSK)

>http://www.bog.pp.ru/work/squid.html#transparent
>хреново искал

Спасибо конечно, но это в случае прозрачного прокси, а у меня, как и сказано было выше прокси не прозрачен, и пока я его таковым делать не собираюсь.:))

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Squid+ipchains help"

Сообщение от Кип on 08-Ноя-01, 16:24  (MSK)

в таком случае просто корректно задавай вопрос :)
а то чего-то непонятное спрашиваешь, если ты ничего файерволом не закрывал или у тебя вообще не запущен файервол, то сквид будет нормально работать, главное указать сквиду куда и с какого адреса ходить, если сквид отстреливает твоих пользователей, то это никакого отношения к ipchains не имеет... как видишь на информации, представленной тобой, можно только догадки строить...
Ы? :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Squid+ipchains help ???"

Сообщение от NN on 08-Ноя-01, 16:31  (MSK)

>Проблема!!!
>Стоит Линукс RH 6.2(смотрит в инет),
>Squid не прозрачный прокси,
>Как прописать в ipchains разрешение для
>того чтоб юзеры ходили через
>прокси, или нужен редиректор?
>Спасибо.
В ipchains по умолчанию прописано разрешение для всего, в т.ч. и "чтоб юзеры ходили через прокси".
В чем Проблема!!!-то?

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Squid+ipchains help ???"

Сообщение от Кип on 08-Ноя-01, 16:35  (MSK)

ты правила показать можешь ? я телепат только по воскресеньям, а сегодня черверг Ж)
а в access.log сквидовом чего ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: Squid+ipchains help ???"

Сообщение от Dimon on 08-Ноя-01, 16:57  (MSK)

>ты правила показать можешь ? я
>телепат только по воскресеньям, а
>сегодня черверг Ж)
>а в access.log сквидовом чего ?
>
Ладно, вопрос по моему был коректный, повторяю я в ipchains
ipchains -P input DENY
ipchains -P output DENY
ipchains -P forward DENY
.......
теперь дошло дело до сквида
пишу
ipchains -A input eth0 -s any/0 -d a.b.c.d 3128 -j accept
и как говорится ни фига. Че не правильно?
Т.е в идеале чуваки должны ходить через прокси и туда куда firewall разрешает, а все остальное им запрещено.
Теперь понятно:)))

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: Squid+ipchains help ???"

Сообщение от NN on 08-Ноя-01, 18:30  (MSK)

>
>ipchains -P input DENY
>ipchains -P output DENY
>ipchains -P forward DENY
>
>.......
>
>теперь дошло дело до сквида
>
>пишу
>ipchains -A input eth0 -s any/0
>-d a.b.c.d 3128 -j accept
Это только дает возможность пользователям с любого адреса (кстати, лучше только свой диапазон, не так ли?) попросить чего-нибудь у squid'а (он, я так понимаю, слушает на 3128). Но squid-то захочет по этому запросу что-нибудь из Инета забрать. А ему
output deny...
Нужно сделать, как минимум,
ipchains -A output -s [свой адрес] -d 0.0.0.0 80 -j ACCEPT (кроме 80 -- что еще нужно от прокси)
Но и это не все. Нужно еще и ответ из Инета получить:
ipchains -A input -s 0.0.0.0 80 -d [свой адрес] -j ACCEPT
и вернуть что-нибудь клиенту
ipchains -A output -s a.b.c.d 3128 any/0 -j accept
и т.д., и т.п...........
>
>
>и как говорится ни фига. Че
>не правильно?
>Т.е в идеале чуваки должны ходить
>через прокси и туда куда
>firewall разрешает, а все остальное
>им запрещено.
>Теперь понятно:)))
Для начала советую вписать не просто DENY, а DENY -l и смотреть логи -- многое будет понятно

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: Squid+ipchains help ???"

Сообщение от Dimon on 08-Ноя-01, 16:58  (MSK)

>>Проблема!!!
>>Стоит Линукс RH 6.2(смотрит в инет),
>>Squid не прозрачный прокси,
>>Как прописать в ipchains разрешение для
>>того чтоб юзеры ходили через
>>прокси, или нужен редиректор?
>>Спасибо.
>
>В ipchains по умолчанию прописано разрешение
>для всего, в т.ч. и
>"чтоб юзеры ходили через прокси".
>
>В чем Проблема!!!-то?

В том что им прописываю запрещение для всего, а для сквида разрешение, но как?

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE: Squid+ipchains help ???"

Сообщение от Кип on 08-Ноя-01, 17:19  (MSK)

неее, проблема в том, что надо было хотя бы прочитать для начала вот это http://www.linux.org.ru:8101/books/HOWTO/Ipchains-HOWTO.html :)
хинт: каким макаром сквид клиенту пакеты вернет ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "RE: Squid+ipchains help ???"

Сообщение от Ostap on 12-Ноя-01, 11:49  (MSK)

Если сквид слушает 3128 порт и все политики по умолчанию DENY, то можно обойтись вот чем:
ipchains -A input -s a.b.c.d/x -p tcp --dport 3128 -j ACCEPT
ipchains -A input -y -j DENY
ipchains -A input -j ACCEPT
Первая строка разрешает ходить твоей сетке на 3128 порт (сквид), вторая запрещает хождение всех пакетов с флагом TCP SYN на все остальные порты, третья разрешает хождение всем везде. Поскольку правила рассматриваются в строгом порядке, ты обеспечишь таким образом хождение всего куда тебе надо. :) И ответ от WWW серверов придут, и запросы на них уйдут...если ты политикой по умолчанию в цепочке output поставишь ACCEPT. В этом у тебя и грабли, ИМХО.
Будь здоров! :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "ipchains"

Сообщение от algo on 11-Сен-02, 21:32  (MSK)

Где можно найти логи IPCHAINS?

Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "RE: ipchains"

Сообщение от Goodvin on 09-Ноя-02, 14:18  (MSK)

>Где можно найти логи IPCHAINS?
/var/log/kernel.log, если в /etc/syslog.conf прописано
...
kern.* /var/log/kernel.log
...
Подробнее читай Ipchains HOWTO.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: Squid+ipchains help"
Сообщение от Кип on 01-Ноя-01, 21:47 (MSK)
http://squid.opennet.ru смотри
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: Squid+ipchains help"
	Сообщение от Dimon on 08-Ноя-01, 13:41 (MSK)
	>http://squid.opennet.ru смотри Смотрел, ненашел ни че:(((
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: Squid+ipchains help"
	Сообщение от Кип on 08-Ноя-01, 16:00 (MSK)
	http://www.bog.pp.ru/work/squid.html#transparent хреново искал
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: Squid+ipchains help"
	Сообщение от Dimon on 08-Ноя-01, 16:06 (MSK)
	>http://www.bog.pp.ru/work/squid.html#transparent >хреново искал Спасибо конечно, но это в случае прозрачного прокси, а у меня, как и сказано было выше прокси не прозрачен, и пока я его таковым делать не собираюсь.:))
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: Squid+ipchains help"
	Сообщение от Кип on 08-Ноя-01, 16:24 (MSK)
	в таком случае просто корректно задавай вопрос :) а то чего-то непонятное спрашиваешь, если ты ничего файерволом не закрывал или у тебя вообще не запущен файервол, то сквид будет нормально работать, главное указать сквиду куда и с какого адреса ходить, если сквид отстреливает твоих пользователей, то это никакого отношения к ipchains не имеет... как видишь на информации, представленной тобой, можно только догадки строить... Ы? :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

6. "RE: Squid+ipchains help ???"
Сообщение от NN on 08-Ноя-01, 16:31 (MSK)
>Проблема!!! >Стоит Линукс RH 6.2(смотрит в инет), >Squid не прозрачный прокси, >Как прописать в ipchains разрешение для >того чтоб юзеры ходили через >прокси, или нужен редиректор? >Спасибо. В ipchains по умолчанию прописано разрешение для всего, в т.ч. и "чтоб юзеры ходили через прокси". В чем Проблема!!!-то?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "RE: Squid+ipchains help ???"
	Сообщение от Кип on 08-Ноя-01, 16:35 (MSK)
	ты правила показать можешь ? я телепат только по воскресеньям, а сегодня черверг Ж) а в access.log сквидовом чего ?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "RE: Squid+ipchains help ???"
	Сообщение от Dimon on 08-Ноя-01, 16:57 (MSK)
	>ты правила показать можешь ? я >телепат только по воскресеньям, а >сегодня черверг Ж) >а в access.log сквидовом чего ? > Ладно, вопрос по моему был коректный, повторяю я в ipchains ipchains -P input DENY ipchains -P output DENY ipchains -P forward DENY ....... теперь дошло дело до сквида пишу ipchains -A input eth0 -s any/0 -d a.b.c.d 3128 -j accept и как говорится ни фига. Че не правильно? Т.е в идеале чуваки должны ходить через прокси и туда куда firewall разрешает, а все остальное им запрещено. Теперь понятно:)))
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "RE: Squid+ipchains help ???"
	Сообщение от NN on 08-Ноя-01, 18:30 (MSK)
	> >ipchains -P input DENY >ipchains -P output DENY >ipchains -P forward DENY > >....... > >теперь дошло дело до сквида > >пишу >ipchains -A input eth0 -s any/0 >-d a.b.c.d 3128 -j accept Это только дает возможность пользователям с любого адреса (кстати, лучше только свой диапазон, не так ли?) попросить чего-нибудь у squid'а (он, я так понимаю, слушает на 3128). Но squid-то захочет по этому запросу что-нибудь из Инета забрать. А ему output deny... Нужно сделать, как минимум, ipchains -A output -s [свой адрес] -d 0.0.0.0 80 -j ACCEPT (кроме 80 -- что еще нужно от прокси) Но и это не все. Нужно еще и ответ из Инета получить: ipchains -A input -s 0.0.0.0 80 -d [свой адрес] -j ACCEPT и вернуть что-нибудь клиенту ipchains -A output -s a.b.c.d 3128 any/0 -j accept и т.д., и т.п........... > > >и как говорится ни фига. Че >не правильно? >Т.е в идеале чуваки должны ходить >через прокси и туда куда >firewall разрешает, а все остальное >им запрещено. >Теперь понятно:))) Для начала советую вписать не просто DENY, а DENY -l и смотреть логи -- многое будет понятно
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "RE: Squid+ipchains help ???"
	Сообщение от Dimon on 08-Ноя-01, 16:58 (MSK)
	>>Проблема!!! >>Стоит Линукс RH 6.2(смотрит в инет), >>Squid не прозрачный прокси, >>Как прописать в ipchains разрешение для >>того чтоб юзеры ходили через >>прокси, или нужен редиректор? >>Спасибо. > >В ipchains по умолчанию прописано разрешение >для всего, в т.ч. и >"чтоб юзеры ходили через прокси". > >В чем Проблема!!!-то? В том что им прописываю запрещение для всего, а для сквида разрешение, но как?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "RE: Squid+ipchains help ???"
	Сообщение от Кип on 08-Ноя-01, 17:19 (MSK)
	неее, проблема в том, что надо было хотя бы прочитать для начала вот это http://www.linux.org.ru:8101/books/HOWTO/Ipchains-HOWTO.html :) хинт: каким макаром сквид клиенту пакеты вернет ?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "RE: Squid+ipchains help ???"
	Сообщение от Ostap on 12-Ноя-01, 11:49 (MSK)
	Если сквид слушает 3128 порт и все политики по умолчанию DENY, то можно обойтись вот чем: ipchains -A input -s a.b.c.d/x -p tcp --dport 3128 -j ACCEPT ipchains -A input -y -j DENY ipchains -A input -j ACCEPT Первая строка разрешает ходить твоей сетке на 3128 порт (сквид), вторая запрещает хождение всех пакетов с флагом TCP SYN на все остальные порты, третья разрешает хождение всем везде. Поскольку правила рассматриваются в строгом порядке, ты обеспечишь таким образом хождение всего куда тебе надо. :) И ответ от WWW серверов придут, и запросы на них уйдут...если ты политикой по умолчанию в цепочке output поставишь ACCEPT. В этом у тебя и грабли, ИМХО. Будь здоров! :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "ipchains"
	Сообщение от algo on 11-Сен-02, 21:32 (MSK)
	Где можно найти логи IPCHAINS?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "RE: ipchains"
	Сообщение от Goodvin on 09-Ноя-02, 14:18 (MSK)
	>Где можно найти логи IPCHAINS? /var/log/kernel.log, если в /etc/syslog.conf прописано ... kern.* /var/log/kernel.log ... Подробнее читай Ipchains HOWTO.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх